2006年5月12日

[selinux-users:01597] Re: cronがだめでanacronが快調 ( strict-2.x Enforcing )

自己レスです

> invalid context root...
> No context...
> となってました。
> これってなんでしょうか?

古田さんのページ


http://www.atmarkit.co.jp/fsecurity/rensai/selinux03/selinux02.html

から引用

「security: context XXX is invalid」と出力されていますが、これはxxxモ
ジュールで使用されているセキュリティコンテキストがほかのモジュールに含まれて
いるために取得できず、不正なコンテキストとして認識されている状態です。今回は
Permissiveモードで動作させているため、これが出力されていても動作しています
が、Enforcingモードで実行するときはこれは異常動作を引き起こす原因となりま
す。」

まさしく、Enforcingモードで実行するときはこれは異常動作と考えられます。

2重登録のコンテキストがあって、邪魔をしていると考えられそうです。
暇を見て見なおしてみます。
確かにman anacronを読むと、cronとは違って、24時間稼動していないコンピュー
タでは、となっていました。
それまでは、anacronを使って、1日1回サーバ再起動
で対処したいと思います。

では。

----- Original Message -----
From: "Shintaro Fujiwara"
To:
Sent: Friday, May 12, 2006 10:16 AM
Subject: [selinux-users:01596] Re: cronがだめでanacronが快調 ( strict-2.x
Enforcing )


> 藤原 です。
>
> invalid context root...
> No context...
> となってました。
> これってなんでしょうか?
>
>
> ----- Original Message -----
> From: "Shintaro Fujiwara"
> To: "Yuichi Nakamura"
> Cc:
> Sent: Thursday, May 11, 2006 11:20 AM
> Subject: [selinux-users:01591] Re: cronがだめでanacronが快調 ( strict-2.x
> Enforcing )
>
>
> >
> > ありがとうございます。
> >
> > 2003年の中村さんの発言を参照しましたが...本当に困っています。
> > /etc/crontab のタイプは、
> > system_cron_spool_t です。
> > ちなみに、permissiveで再起動すると、
> > FAILED だけど、SELinuxのpermissiveモードなので、
> > 続けますと、出ます。
> >
> > 私のホームページは、ちょっとまだ直してなくて
> > あのポリシはもうロードされてません。
> > でも、なぜかunconfined_tがあったよな...。
> > どこについているか、どうやって確認するのかがわからんとです。
> > 自分では付けた覚えないけど。
> > もちろん、/sbin/fixfiles relabel は何度もやってますし。
> >
> > > constrainとかが絡んだ厄介なトラブルな可能性もあります。
> > > #MLS/MCSが絡んでたら、私にはお手上げ。。
> > MLS/MCSはもちろんまだやってませんし..。
> >
> > > 「システム再起動後に一度だけcronジョブを動かす」
> > そうなんですか...。
> >
> > > それにしても、strictポリシは、
> > > まだまだ完成度が低いものなんですね。
> > 確かに、fc5-faqでも
> > 「あらゆる場所でstrictポリシへの挑戦は続けられている」
> > と書いてあるけど、やってる身にもなってくれって思います。
> > 読むとカッコいいけど...。
> >
> > ----- Original Message -----
> > From: "Yuichi Nakamura"
> > To:
> > Cc: ;
> > Sent: Thursday, May 11, 2006 11:07 AM
> > Subject: Re: [selinux-users:01588] cronがだめでanacronが快調 (
strict-2.x
> > Enforcing )
> >
> >
> > >
> > > 中村です。
> > >
> > > On Thu, 11 May 2006 08:16:21 +0900
> > > "Shintaro Fujiwara" wrote:
> > > > その最も大きい不具合が、
> > > > cronがENTRYPOINT FAILEDになることでした。
> > > 以前のポリシでは時々見かけるトラブルでした。
> > > restorecon /etc/crontabは基本です。
> > >
> > > ls -Z /etc/crontabはどうなっていますか?
> > >
> > > constrainとかが絡んだ厄介なトラブルな可能性もあります。
> > > #MLS/MCSが絡んでたら、私にはお手上げ。。
> > >
> > > >http://intrajp.no-ip.com/server_fedora_5.php
> > > ちょっとだけ,見せていただきました。
> > > allow crond_t file_t:file r_file_perms;
> > > allow crond_t lib_t:file x_file_perms;
> > > allow crond_t unlabeled_t:file r_file_perms;
> > > などが、大変怪しいです。
> > > file_t, unlabeled_tで参照しているファイル名が気になります。
> > > ラベル付けがうまくいってないのか。。
> > >
> > > > anacronは、strictのEnforcingで異常なく動きました。
> > > > FC5サーバも、設定がほぼ固まったので、
> > > > 連続運用が可能になったと考えています。
> > > anacronは、
> > > 「システム再起動後に一度だけcronジョブを動かす」
> > > サービスだったと思います。
> > > 2回目は動かなかったと思いますので、注意が必要です。
> > >
> > > それにしても、strictポリシは、
> > > まだまだ完成度が低いものなんですね。
> > >
> > > Yuichi Nakamura
> >
> >
>
>


投稿者 xml-rpc : 2006年5月12日 12:54
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/36287
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。